data retention - Sicurezza e Giustizia

DATA RETENTION ANAGRAFICA DELLE UTENZE MOBILI:
ESIGENZE DI INDAGINE ED OBBLIGHI
VERSO L’AUTORITÀ GIUDIZIARIA
di Ciro Candelmo e Nicola Lanzimando
I
n conformità a quanto stabilito dalle condizioni di contratto
della maggior parte dei Gestori Telefonici, la SIM telefonica
è un bene mobile di proprietà del Gestore stesso, cui deve
essere restituita su richiesta. La SIM non costituisce infatti il
servizio venduto al cliente, bensì il bene materiale, il supporto, lo strumento attraverso il quale il cliente viene identificato
e, quindi, posto nelle condizioni di usufruire del servizio di telefonia. Il possesso della SIM si potrebbe configurare come un
contratto di comodato d’uso, anche se non ne ha tutte le caratteristiche. Il comodato è infatti un contratto reale, mentre i contratti di telefonia mobile sono contratti consensuali per la cui
esecuzione la cessione di una carta SIM risulta l’indispensabile
mezzo attraverso il quale assicurare il servizio.
In passato gli operatori telefonici offrivano carte SIM prepagate
già attive e dunque funzionanti al momento dell’acquisto; le disposizioni antiterrorismo del D.L. 27 luglio 2005 n. 144 (c.d. decreto Pisanu - convertito dalla legge n. 155 del 31 luglio 2005),
però, hanno messo fine a questa pratica e quindi anche le carte
preattive non sono completamente funzionanti sino ad avvenuto e completo caricamento dei dati anagrafici dell’acquirente. Difatti ex art. 55 comma 7 del D. Lgs. 1° agosto 2003
n°259 (Codice delle Comunicazioni Elettroniche) “Ogni impresa
è tenuta a rendere disponibili, anche per via telematica, al centro
di elaborazione dati del Ministero dell’interno gli elenchi di tutti i
propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, che sono identificati prima dell’attivazione del
servizio, al momento della consegna o messa a disposizione della
occorrente scheda elettronica (S.I.M.). Le predette imprese adottano tutte le necessarie misure affinché venga garantita l’acquisizione dei dati anagrafici riportati su un documento di identità,
nonché del tipo, del numero e della riproduzione del documento
presentato dall’acquirente ed assicurano il corretto trattamento
dei dati acquisiti. L’autorità giudiziaria ha facoltà di accedere per
fini di giustizia ai predetti elenchi in possesso del centro di elaborazione dati del Ministero dell’interno.”
Nel dicembre 2012, con la Legge di conversione del D.L. 18 ottobre 2012 n. 179, tuttavia, è stata introdotta la possibilità per
gli Operatori Telefonici, limitatamente alle SIM abilitate al solo
traffico dati, di “identificare e registrare gli utenti anche in via indiretta”, “attraverso sistemi di riconoscimento via SMS e carte di pagamento nominative”. Ciò, evidentemente, sul presupposto che
una identificazione vera e propria (ossia che soddisfa i requisiti
di effettività e contestualità previsti dal comma 7 dell’art. 55) sia
già stata effettuata in altra sede (ad esempio, in caso di carte di
pagamento nominative, la normativa in materia antiriciclaggio
di cui al d.lgs 231/2007, integrata con le disposizione attuative
30
SICUREZZAeGIUSTIZIA
NUMERO III / MMXIII
e di vigilanza della Banca d’Italia impone agli istituti di credito una serie di stringenti obblighi concernenti l’identificazione
della clientela).
Rispetto alla normativa previgente, dunque, il Decreto Pisanu
ha dunque introdotto sul punto obblighi più stringenti in capo
agli Operatori, ed in particolare:
→→ l’obbligo di identificare gli abbonati e gli acquirenti del traffico prepagato prima dell’attivazione del servizio, al momento della consegna o messa a disposizione della scheda
SIM necessaria per la fruizione dello stesso (in precedenza
l’art. 55 del Codice delle Comunicazioni Elettroniche prevedeva che l’identificazione del cliente avesse luogo “al momento dell’attivazione del servizio”);
→→ l’obbligo di acquisire i dati anagrafici dei clienti, il tipo e il
numero del documento d’identità sul quale essi sono riportati, nonché la riproduzione del documento presentato dai
clienti stessi ai fini dell’identificazione.
A livello comunitario, misure volte ad assicurare l’ordine pubblico e la pubblica sicurezza in relazione ai servizi di comunicazione elettronica sono state introdotte dalla Direttiva 2006/24/
CE che riguarda in particolare la conservazione dei dati generati
o trattati nell’ambito della fornitura di servizi di comunicazione
elettronica accessibili al pubblico o di reti pubbliche di comunicazione (cd. data retention).
La Direttiva è stata adottata dal legislatore dell’UE con l’obiettivo di armonizzare le disposizioni nazionali riguardanti la conservazione di determinati dati, allo scopo di garantirne la disponibilità a fini d’indagine, accertamento e perseguimento dei reati.
Ed infatti, pur riconoscendo l’importanza e la necessità delle
misure adottate a livello nazionale, le istituzioni comunitarie avevano riscontrato che le differenze giuridiche e tecniche
delle soluzioni adottate dagli Stati membri in tale ambito erano suscettibili di costituire “un ostacolo al mercato interno delle
comunicazioni elettroniche, giacché i fornitori dei servizi devono
rispettare esigenze diverse per quanto riguarda tipi di dati relativi
al traffico e i tipi di dati relativi all’ubicazione da conservare e le
condizioni e la durata di tale conservazione”. La Direttiva prevede
in capo ai fornitori di servizi di comunicazioni l’obbligo di conservare, per periodi che devono essere individuati dagli Stati
membri (non inferiori ai sei mesi e non superiori a due anni), i
dati relativi alla telefonia che sono necessari:
—— per rintracciare ed identificare la fonte di una comunicazione (es. per la telefonia fissa e mobile: numero telefonico del
chiamante e nome ed indirizzo dell’abbonato o dell’utente
registrato);
Anagrafica delle utenze mobili: esigenze di indagine
ed obblighi verso l’Autorità Giudiziaria
—— per rintracciare ed identificare la destinazione di una comunicazione (es. per la telefonia fissa e mobile: numero digitato, nome e indirizzo dell’abbonato o dell’utente registrato);
—— per identificare la data, l’ora e la durata di una comunicazione;
—— per identificare il tipo di comunicazione;
—— per determinare le attrezzature di comunicazione utilizzate
dagli utenti;
—— per determinare l’ubicazione delle apparecchiature di comunicazione mobile.
Fermo quanto sopra, la Direttiva non prescrive l’adozione da
parte degli Stati membri di specifiche e puntuali misure per
quanto riguarda il rilascio e l’attivazione delle SIM utilizzate per
la fornitura dei servizi di telecomunicazione, del tipo di quelle
introdotte in Italia con il Decreto Pisanu. È tuttavia giocoforza
constatare che, ai fini dell’identificazione dell’origine e della destinazione di una comunicazione, sia necessario che i fornitori
di servizi di telecomunicazione acquisiscano i dati relativi all’identità degli acquirenti e verifichino la corrispondenza di questi
ultimi con i soggetti intestatari delle SIM stesse.
La Direttiva è stata recepita dal legislatore italiano con il
D.Lgs. 30 maggio 2008 n. 109 cd. Decreto Frattini. E’ opportuno segnalare che, nel 2011, la Commissione Europea ha reso
pubblica una relazione di valutazione sull’applicazione della Direttiva da parte degli Stati membri e sul suo impatto sugli operatori economici e sui consumatori.
In tale contesto ed in particolare in relazione ai servizi prepagati
di telefonia mobile, la Commissione ha dato atto, nella vigenza
della Direttiva, del fatto che alcuni Stati membri hanno evidenziato i rischi connessi alle SIM anonime prepagate, soprattutto
se acquistate in un altro Stato membro (esse potrebbero infatti
essere utilizzate da persone coinvolte in attività criminali per
evitare l’identificazione nelle indagini penali) e ha rilevato che
sei Stati membri, tra cui l’Italia, hanno adottato misure che impongono la registrazione delle carte SIM prepagate, e che questi e altri Stati membri si sono espressi a favore dell’adozione
di una normativa a livello europeo che preveda la registrazione
obbligatoria dell’identità degli utenti di servizi prepagati.
Tuttavia, in mancanza di elementi che ne confermino l’efficacia,
e considerati i limiti di tali misure nazionali (es. in relazione al
caso di furto d’identità, o di utilizzo tramite roaming di una carta
SIM acquistata in un Paese terzo) la Commissione non ha ritenuto necessaria, per il momento, un’azione al livello UE sotto
questo specifico profilo.
Ritornando al disposto dell’art. 55 comma 7 del Codice delle Comunicazioni Elettroniche, così come modificato dal Decreto Pisanu, lo stesso appare chiaramente finalizzato ad assicurare, per
esigenze di ordine pubblico e pubblica sicurezza, la possibilità
che il traffico telefonico sia sempre ricondotto ad un determinato utente, sulla cui identità vi sia ragionevole e documentata
certezza.
Sembra dunque doversi ritenere che il comma 7 dell’art. 55 del
D. Lgs. 259/2003 richieda, da una parte, che l’identificazione degli abbonati e degli acquirenti del traffico prepagato avvenga
sempre alla consegna della necessaria SIM, ad esito di un controllo contestuale effettuato da un soggetto all’uopo incaricato
dall’Operatore e vertente, oltre che sulla formale conformità del
documento presentato, sulla corrispondenza tra l’acquirente
dei servizi di telefonia mobile e il soggetto cui risulta intestato il
documento presentato, esclusa, dall’altra, la possibilità da parte
degli Operatori di ricorrere a procedure di vendita totalmente
automatizzate che prevedano l’acquisizione dei dati anagrafici
del cliente e l’acquisizione della riproduzione del documento
tramite modalità telematiche, o per corrispondenza, ma che
non prevedano, nemmeno al momento della consegna della
SIM, l’espletazione dell’attività di controllo diretto sopra menzionata. Resta, evidentemente, l’irrisolto problema della possibilità astratta che l’utente intestatario della SIM, non sia il reale
ed effettivo utilizzatore della stessa.
Vediamo, infine, quali sono i soggetti legittimati a richiedere
i dati anagrafici dell’utente all’Operatore Telefonico. Nell’operatività quotidiana la stragrande quantità delle richieste
anagrafiche indirizzate agli Operatori Telefonici proviene dalla
Polizia Giudiziaria che, su delega dell’Autorità Giudiziaria od
autonomamente sulla base dei poteri riconosciutigli dall’art. 55
del c.p.p. (comma 1 “La polizia giudiziaria deve, anche di propria
iniziativa, prendere notizia dei reati, impedire che vengano portati a conseguenze ulteriori, ricercarne gli autori, compiere gli atti
necessari per assicurare le fonti di prova e raccogliere quant’altro
possa servire per l’applicazione della legge penale”) acquisisce, in
taluni casi anche attraverso consultazioni dirette, informazioni
sull’utente. Sono altresì legittimati a richiedere tali informazioni anagrafiche anche alcuni altri Soggetti Istituzionali, quali ad
esempio quelli individuati dalla Legge 124 del 3 agosto 2007
su “Sistema di informazione per la sicurezza della Repubblica e
nuova disciplina del segreto“. Inoltre, a seguito dell’introduzione
degli artt. 327 bis e 391 quater del c.p.p. nell’ambito delle c.d.
“indagini difensive” e giuste le previsioni dell’art. 132 del D.Lgs
196/2003 “[...] il difensore dell’imputato o della persona sottoposta
alle indagini può richiedere, direttamente al fornitore i dati relativi
alle utenze intestate al proprio assistito con le modalità indicate
dall’articolo 391-quater del codice di procedura penale”. ©
I NUMERI DI
PER MEGLIO COMPRENDERE L’ENTITÀ DELLA
PRESTAZIONE OBBLIGATORIA
DI FORNITURA DELLE ANAGRAFICHE DELLE UTENZE
CLIENTI
22,3 milioni nella telefonia mobile
3 milioni nella telefonia fissa voce,
di cui 2,4 milioni in accesso diretto
2,24 milioni di clienti Internet,
di cui 2,21 milioni broadband
PUNTI VENDITA
Oltre 8.400
RETE
Copertura GSM pari al 99,83% della popolazione
13.728 siti di accesso radio GSM/GPRS
Copertura UMTS pari al 95,54% della popolazione
Copertura in accesso diretto pari al 60% della popolazione
NUMERO III / MMXIII
SICUREZZAeGIUSTIZIA
31